Tworzy serwer proxy i otwiera losowy port. Łącząc się z witryną http://z.pro<zablokowano>.ru za pośrednictwem skryptów PHP pobiera trzy biblioteki DLL o nazwach: PFPLGNFO.DLL, PFPLGPRX.DLL i PFPLGSCN.DLL. W celu ukrycia pobieranych plików używa technik typu rootkit. Zgromadzone informacje o zainfekowanym komputerze (numer IP, otwarty port) wysyła na serwer http://z.pro<zablokowano>.ru.

Netsad.F rozprzestrzenia się za pośrednictwem wiadomości email i sieci wymiany plików P2P. Netsad.F wyłącza (jeżeli są aktywne) serwisy systemu Windows odpowiadające za zwiększony poziom bezpieczeństwa.

Nuwar.A wyłącza serwisy systemu Windows odpowiadające za zwiększony poziom bezpieczeństwa. Na zainfekowany komputer pobiera pliki odpowiadające za aktualizacje i konfigurację Nuwar.A.

Radoppan.A rozprzestrzenia się za pośrednictwem:

• Sieci komputerowych, poprzez wykonywanie swojej kopii w sieciowych zasobach współdzielonych.
• Za pośrednictwem wiadomości email, do rozsyłania których wykorzystuje swój własny mechanizm SMTP.

Łączy się ze stroną internetową http://www.clu<zablokowano>nd.fm z której pobiera kopię trojana o nazwie Banker.FFX, i instaluje go w zaatakowanym systemie.

Monitoruje ruch sieciowy i oczekuje, aż użytkownik odwiedzi serwisy online jednego z następujących banków:
Banco do Brasil
Bradesco
HSBC
Internet Banking Caixa
Itau
Następnie wyświetla fałszywą stronę logowania wchodząc w ten sposób w posiadanie poufnych danych użytkowników.

Spamta.LZ rozsyła za pośrednictwem wiadomości email trojana o nazwie SpamtaLoad.BE.

Umożliwia zdalną kontrolę zainfekowanego komputera. W tym celu skryptów napisanych w języku PHP, które umożliwiają zdalny dostęp do zainfekowanego komputera. Przechwytuje dane wprowadzane przez użytkownika w formularzach internetowych, jeśli używaną przeglądarką był Internet Explorer. W ten sposób uzyskuje dostęp do poufnych danych takich jak login i hasło do skrzynki email, kont bankowych oraz innych usług swiadczonych za pośrednictwem Internetu.

Posiada cechy charakterystyczne dla narzędzi hakerskich i może być zdalnie kontrolowany. Umożliwia wykonywanie następujących czynności:
- zakładanie kont o uprawnieniach administratorskich
- za pośrednictwem tego konta umozliwia wykorzystanie serwisu Telnet. Umożliwia on zdalną kontrolę komputera.

MS06-066 jest zbiorem luk w zabezpieczeniach Usługi klienta dla systemu NetWare, które umożliwiają zdalne wykonanie kodu.

MS06-071 jest luką w zabezpieczeniach programu Microsoft XML Core Services, która umożliwia zdalne wykonanie kodu.

W chwili, gdy użytkownik wpisuje adres internetowy jednego z banków online, Banker.FJI wyświetla fałszywą stronę logowania. W ten sposób autor trojana wchodzi w posiadanie poufnych danych użytkowników. Wszystkie powyższe informacje wysyła za pośrednictwem wiadomości email do autora trojana.

Spamta.NB rozsyła za pośrednictwem wiadomości email trojana o nazwie SpamtaLoad.BL.

Uniemożliwia użytkownikowi dostęp do takich narzędzi systemowych jak Menadżer zadań oraz Edytor rejestru systemowego.

WKSSVC jest kodem używanym do wykorzystania luki w zabezpieczeniach w bibliotece WKSSVC.DLL na komputerach pracujących pod kontrolą systemów operacyjnych Windows XP/2000.

IrcBot.AIV rozprzestrzenia się za pośrednictwem sieci Internet oraz sieci lokalnych.

Monitoruje ruch sieciowy i oczekuje, aż użytkownik odwiedzi serwisy online jednego z banków online. W chwili, gdy użytkownik wpisuje adres internetowy jednego z powyższych banków Banker.FLO przechwytuje wszystkie znaki wprowadzane przez użytkownika za pośrednictwem klawiatury.